Om sikkerhetsoppdatering 2008-005

  • Sist endret: 15 august, 2008
  • Artikkel: HT2647

Oppsummering

Dette dokumentet er en beskrivelse av sikkerhetsoppdatering 2008-005, som kan lastes ned og installeres via innstillinger under Programvareoppdatering eller fra Apple-nedlastinger.

Av hensyn til kundenes sikkerhet er det Apples praksis å ikke videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige programoppgraderinger eller -versjoner er tilgjengelige. Du finner mer informasjon om Apples produktsikkerhet på webstedet Apples produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen for Apples produktsikkerhet under "Slik bruker du PGP-nøkkelen for Apples produktsikkerhet."

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Du finner mer informasjon om andre sikkerhetsoppdateringer i "Apples sikkerhetsoppdateringer."

Berørte produkter

Mac OS X Server 10.4, Produktsikkerhet, Mac OS X Server 10.5, Mac OS X 10.5.4, Mac OS X 10.4.11

Sikkerhetsoppdatering 2008-005

  • Åpne skriparkitektur

    CVE-ID: CVE-2008-2830

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Virkning: En lokal bruker kan utføre kommandoer med utvidede rettigheter

    Beskrivelse: Det finnes et designproblem i Open Scripting Architecture-bibliotekene når man skal bestemme om tilleggsmoduler for prosedyrer skal lastes i programmer som kjører med utvidede rettigheter. Sending av prosedyretillegg til et program med rettigheter kan føre til utførelse av vilkårlig kode med de rettighetene. Denne oppdateringen løser problemet ved å ikke laste prosedyretillegg i programmer som kjører med systemrettigheter. De nylig rapporterte ARDAgent og SecurityAgent-problemene løses med denne oppdateringen. Takk til Charles Srstka for rapportering av dette problemet.

  • BIND

    CVE-ID: CVE-2008-1447

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Virkning: BIND er mottakelig for DNS-bufferinfisering og kan returnere falsk informasjon

    Beskrivelse: BIND-serveren (Berkeley Internet Name Domain) er distribuert med Mac OS X, og er ikke aktivert som standard. Når aktivert, besørger BIND-serveren oversetting mellom vertsnavn og IP-adresser. En svakhet i DNS-protokollen kan åpne for eksterne angrep på DNS-buffer. Dette kan føre til at systemer som er avhengig av BIND-serveren for DNS mottar falsk informasjon. Denne oppdateringen løser problemet ved å implementere vilkårlig kildeportbruk for å forbedre evnen til å motstå bufferinfeksjoner. For Mac OS X v10.4.11-systemer er BIND oppdatert til versjon 9.3.5-P1. For Mac OS X v10.4.11-systemer er BIND oppdatert til versjon 9.3.5-P1. Takk til Dan Kaminsky i IOActive for rapportering av problemet.

  • CarbonCore

    CVE-ID: CVE-2008-2320

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Virkning: Behandling av lange filnavn kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres

    Beskrivelse: Det foreligger stabelbufferoverflyt i håndteringen av lange filnavn. Behandling av lange filnavn kan føre til at et program avsluttes uventet eller at vilkårlig kode utføres. Denne oppdateringen løser problemet ved forbedret grensekontroll. Takk til Thomas Raffetseder hos International Secure Systems Lab og Sergio 'shadown' Alvarez hos n.runs AG for rapportering av problemet.

  • CoreGraphics

    CVE-ID: CVE-2008-2321

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Virkning: Besøk på et skadelig websted kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: CoreGraphics inneholder hukommelsesproblemer ved behandling av argumenter. Sending av ikke klarerte data til CoreGraphics via et program, for eksempel en nettlesere, kan føre til at programmet avsluttes uventet eller at vilkårlig kode utføres. Denne oppdateringen løser problemet ved forbedret grensekontroll. Takk til Michal Zalewski i Google for rapportering av dette problemet.

  • CoreGraphics

    CVE-ID: CVE-2008-2322

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Heltalloverflyt i håndteringen av PDF-filer kan føre til heap-bufferoverflyt. Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres. Denne oppdateringen løser problemet gjennom ytterligere kontroll og godkjenning av PDF-filer. Takk til Pariente Kobi som arbeider med iDefense VCP for rapportering av dette problemet.

  • Data Detectors Engine

    CVE-ID: CVE-2008-2323

    Tilgjengelig for: Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Virkning: Visning av skadelige meldinger med Data Detectors kan føre til at et program avsluttes uventet

    Beskrivelse: Data Detectors brukes til å trekke ut referanseinformasjon fra tekstinnhold eller arkiver. Det foreligger et ressursforbruksproblem i Data Detectors håndtering av tekstinnhold. Visning av skadelig innhold i et program som bruker Data Detectors kan føre til avvisning av tjenesten, men ikke utføring av vilkårlig kode. Problemet har ingen innvirkning på systemer som er eldre enn Mac OS X v10.5.

  • Diskverktøy

    CVE-ID: CVE-2008-2324

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11

    Virkning: En lokal bruker kan oppnå systemrettigheter

    Beskrivelse: "Reparer rettigheter"-verktøyet i Diskverktøy gjør /usr/bin/emacs setuid. Når verktøyet "Reparer rettigheter" er kjørt, kan en lokal bruker bruke emacs til å kjøre kommandoer med systemrettigheter. Denne oppdateringen løser problemet ved å korrigere rettighetene til emacs i Reparer rettigheter-verktøyet. Dette problemet gjelder ikke for systemer som kjører Mac OS X v10.5 og nyere. Takk til Anton Rang og Brian Timares for rapportering av dette problemet.

  • OpenLDAP

    CVE-ID: CVE-2008-2952

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Virkning: En ekstern angriper kan være i stand til å forårsake en uventet avslutting av programmet

    Beskrivelse: Det finnes et problem i OpenLDAPs ASN.1 BER-dekoding. Behandling av skadelige LDAP-meldinger kan føre til uventet avslutting av OpenLDAP-demonen slapd. Denne oppdateringen løser problemet ved å utføre ytterligere kontroll av LDAP-meldinger.

  • OpenSSL

    CVE-ID: CVE-2007-5135

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Virkning: En ekstern angriper kan være i stand til å forårsake at et program avsluttes uventet eller at vilkårlig kode utføres

    Beskrivelse: Det finnes et områdekontrollproblem i SSL_get_shared_ciphers()-funksjonen i OpenSSL. I et program som bruker denne funksjonen kan behandling av skadelige pakker føre til at programmet avsluttes uventet eller utføring av vilkårlig kode. Denne oppdateringen løser problemet ved forbedret grensekontroll.

  • PHP

    CVE-ID: CVE-2008-2051, CVE-2008-2050, CVE-2007-4850, CVE-2008-0599, CVE-2008-0674

    Tilgjengelig for: Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Virkning: Flere sårbarheter i PHP 5.2.5

    Beskrivelse: PHP er oppdatert til versjon 5.2.6 for å løse flere svakheter, og den alvorligste er mulig kjøring av arbitrær kode. Ytterligere informasjon er tilgjengelig via PHP-webområdet på http://www.php.net/. PHP-versjon 5.2.x leveres bare med Mac OS X v10.5-systemer.

  • QuickLook

    CVE-ID: CVE-2008-2325

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Virkning: Nedlasting av en skadelig Microsoft Office-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

    Beskrivelse: Flere problemer med ødeleggelse av hukommelse finnes i QuickLooks håndtering av Microsoft Office-filer. Nedlasting av en skadelig Microsoft Office-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres . Denne oppdateringen løser problemet ved forbedret grensekontroll. Problemet har ingen innvirkning på systemer som er eldre enn Mac OS X v10.5.

  • rsync

    CVE-ID: CVE-2008-2326

    Tilgjengelig for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.4, Mac OS X Server v10.5.4

    Virkning: Filer utenfor modulroten kan åpnes eller skrives over eksternt

    Beskrivelse: Banevalideringsproblemer finnes i rsyncs håndtering av symbolske koblinger ved kjøring i daemon-modus. Plassering av symbolske koblinger i en rsync-modul kan åpne for at filer utenfor modulroten kan åpnes eller overskrives. Denne oppdateringen løser problemet ved forbedret håndtering av symbolske koblinger. Ytterligere informasjon om oppdateringene er tilgjengelig via rsync-nettstedet http://rsync.samba.org/

Tilleggsinformasjon

Viktig:Omtale av tredjeparters webområder og produkter er gitt av informasjonshensyn, og skal ikke anses som godkjenninger eller anbefalinger. Apple påtar seg ikke noe ansvar for valg, ytelse eller bruk av informasjon eller produkter som finnes på websider fra tredjepart. Apple gir denne informasjonen bare av praktiske hensyn for brukerne. Apple har ikke testet informasjonen på disse websidene, og står ikke inne for nøyaktighten eller påliteligheten. Det er en iboende risiko forbundet med bruk av informasjon eller produkter som finnes på Internett, og Apple påtar seg ikke noe ansvar i denne forbindelsen. Vær oppmerksom på at en webside fra tredjepart er uavhengig av Apple og at Apple ikke har noen form for kontroll over innholdet på den websiden. Du kan få mer informasjon ved å kontakte leverandøren.